Datenschutz ohne Kopfzerbrechen
Alles aus einer Hand

Was ist ein Verarbeitungsverzeichnis?

Die DSGVO verlangt gem. Art 30, dass die verantwortlichen Stellen ein sogenanntes Verarbeitungsverzeichnis erstellen, in welchem alle Verarbeitungstätigkeiten verzeichnet sind, die sich mit personenbezogenen Daten befassen.

Hierbei handelt es sich mit Abstand um eines der wichtigsten Dokumente in der gesamten DSGVO, denn es betrifft alle Unternehmen. Sobald ein Unternehmen personenbezogene Daten verarbeitet, ist es dazu aufgefordert diese Prozesse feinsäuberlich in diesem Verzeichnis zu dokumentieren. Dies gilt selbstverständlich auch für Auftragsverarbeiter. Obwohl viele behaupten, dass die Erstellung lediglich Firmen mit mehr als 250 Mitarbeitern betrifft, gilt diese Ausnahme lediglich, wenn die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt. Dies ist allerdings nur in den seltensten Fällen zutreffend. Sollte es sich um besondere Datenkategorien, wie beispielsweise Gesundheitsdaten, Religion oder ähnlichem handeln, trifft die Pflicht der Erstellung und Pflege eine Verarbeitungsverzeichnisses ohnehin zu. 

Wie sieht ein solches Verarbeitungsverzeichnis aus?

Die Ausgestaltung dieses Dokuments obliegt den Unternehmen selbst. Doch der Inhalt muss die Pflichtangaben der DSGVO enthalten. Typischerweise wird eine klar strukturierte Form gewählt um alle Verarbeitungsprozesse nach dem gleichen Schema zu erfassen und eventuelle Änderungen schnell vornehmen zu können. Daher empfiehlt es sich auch das Verarbeitungsverzeichnis (VVT) in digitaler Form bereitzustellen. 

Der Aufbau beschränkt sich hierbei auf drei Teile, dem Deckblatt, dem Hauptteil und einem weiteren Teil. Das Deckblatt enthält die notwendigen Informationen des Unternehmens und des verantwortlichen Datenschutzbeauftragten, ob intern oder extern. Der Hauptteil fasst die einzelnen Prozesse der Datenverarbeitung zusammen. Hier wird jeder einzelne Prozesse detailliert dokumentiert. Bestandteile sind unter anderem die Prozessnamen (bspw. Lohnbuchhaltung), der Zweck der Verarbeitung, die Beschreibung der Kategorie der verarbeiteten personenbezogenen Daten, die Empfänger der Daten, die Fristen zur Löschung und gegebenenfalls die Nennung der Unternehmen bei Übermittlung in ein Drittland.

Der dritte Teil umfasst die technischen und organisatorischen Maßnahmen (TOM). Diese setzen sich aus einzelnen Teilbereichen wie bspw. den Arbeitsanweisungen oder der IT-Sicherheit zusammen und dienen der Dokumentation, dass geeignete Maßnahmen zum Datenschutz getroffen wurden.

Was passiert bei Missachtung?

Die DSGVO bestraft Verstöße mit hohen Sanktionen, die jedoch verhältnismäßig angesetzt sind. Je nach schwere des Verstoßes der DSGVO drohen Unternehmen bis zu 20 Mio. Euro Strafe oder 4% des Jahresumsatzes, je nachdem welche der Strafen die höhere ist. Solche Ausmaße sind jedoch für Giganten gedacht und nicht für die Allgemeinheit. Dennoch sollen die Strafen hoch genug sein, um abschreckend zu wirken. Erste Sanktionen sind bereits erfolgt. Es bleibt abzuwarten wie hart die nächsten Verstöße geahndet werden.

Menü schließen